已加入收藏
已取消收藏
menu
帳號頭像 帳號選單下拉箭頭
/
熱搜內容

攻防

共有 466 則相關文章

焦點

「就像任何強大的工具一樣,人工智慧也是一把雙面刃。」勤業眾信的報告如此點評。生成式AI(以下簡稱GenAI),不只能提高各產業的生產力,它也打開了潘朵拉的盒子,釋放各種未知的網路威脅猛獸。 商周專訪多位資安產業的專家,整理出GenAI時代,個人與企業將面對的三大新型威脅與風險,以及相應對的防範心法與措施: 威脅1》身分偽造偷走聲音和臉,「另一個你」誕生! 根據信任科技公司走著瞧(Gogolook)旗下陌生來電辨識App「Whoscall」之用戶回報數據顯示,用戶遇到「疑似親人聲音來電,要求加Line」以及「疑似AI語音」的相關事件回報次數,今年高峰時每個月可突破六十萬次,是去年平均值的四倍之多。 該公司數據與商業智慧總監高義銘指出,詐騙集團可能透過各種管道,取得攻擊對象認識人物的語音,接著進一步假冒該人身分,致電欲攻擊對象。在取得信任後,會要求轉透過Line進行文字交流,進入財產詐騙程序。 此類攻擊手法,會結合既有的詐騙案元素,如盜用親友照片做為臉書或Line帳號大頭貼,在文字交流中騙取銀行帳號、密碼或其他特定資訊。 加上GenAI技術後,這類攻擊變得更多層次。起手式的攻擊,恐怕會變成是盜取你的聲音與影像,製造另一個你,以接近你的親友,再做真正的攻擊。 同樣的邏輯,加上深度偽造(deepfake)等影像偽造技術,在企業端,就成為各公司未來都更難防禦的資安攻擊。 過去,駭客會發送帶有釣魚網站連結的電子郵件給企業員工,誘導點開連結後,進而找到突破企業防火牆、盜取企業資訊的破口,這類攻擊被稱為商業電子郵件詐騙(BEC,Business Email Compromise)。 過去此類攻擊,大多採用大量出擊的亂槍打鳥式寄送,不過,隨著GenAI的興起,未來駭客將可以用更低的成本,對企業特定人士進行「精準攻擊」。 面對更低成本、高效的攻擊,趨勢科技台灣區總經理洪偉淦展示結合大型語言模型功能的視覺化操作介面,且為了提高資安人員效率,也有可直接對話互動的AI助手及可在裝置上自行掃描的防護功能。攝影者:楊文財 不用上雲端,在自己裝置上就能執行AI應用程式,進行電子郵件掃描與防護。攝影者:楊文財 資安防護公司趨勢科技台灣區總經理洪偉淦分析,GenAI降低了駭客語系上的隔閡,未來可能會見到更多跨國攻擊事件;其次,該技術也降低了駭客過去做釣魚信件,蒐集資訊的成本。 舉例來說,要攻擊一家公司總經理,就可以讓GenAI助手去爬梳與蒐集他的社群發文,最近參加過什麼活動、對什麼有興趣,接著,偽冒一封信件,寫說發信者是在哪個場合見過的合作對象,同時附上業務合作參考資訊連結,但該連結實際上是釣魚網頁,進一步提升釣魚成功率。 因為成功融入被攻擊者的生活資訊,「(受害者)點(連結)的機率,變得非常高,」洪偉淦直言。 比起需要人工大量蒐集攻擊對象的資訊,再寫出客製化的信件內容,若是來自中國的駭客,還要進一步調整習慣的用字、語法,這些過去高門檻的作業流程,現在都可藉由GenAI,大幅降低攻擊者的成本。 資安大廠Palo Alto Networks台灣區技術總監蕭松瀛指出,隨著資安攻擊與日俱增,唯有透過AI 結合視覺化介面協助識別,才能有效防禦。攝影者:楊文財 資安大廠Palo Alto Networks台灣區技術總監蕭松瀛舉例,也有駭客是先駭入員工郵件,然後潛水蒐集資訊,直到掌握公司要進行特定交易的時間點,就偽冒合作廠商發出郵件,指示公司將費用轉到另一個戶頭,竊取資金。 解方1》減少個資外露你的社群發文、照片 都是「模仿犯」偽造素材 「不只是電話號碼跟email,連你所有的(社群)發文、照片,所有(公開)的東西都是危險的。」高義銘建議,個人應謹慎管理自己在社群的發文,以及可看到發文的對象範圍,因為只要是公開資訊,都有可能成為詐騙集圖反過來利用、偽冒你身分的素材。 也正因此,在網路、各式社群上大量曝光,不管是聲音、影像都留存大量公開素材的名人,自然成為詐騙集團第一批偽冒的對象。 解方2》設「冷靜斷點」別被急迫感綁架 一先掛電話、二找人求證 「要抵抗這種AI(詐騙攻擊),有時候你必須要停下來。」刑事警察局預防科科長林書立強調,詐騙集團在攻擊時,多數利用的都是人的「急迫感」,例如不在一定時間匯錢,親人就會怎麼樣,或是這個投資機會就快消失了等。 他表示,這時候最重要的事,就是設下斷點,讓自己大腦不被急迫感綁架,一可以先掛斷電話、二可以找第三者,抑或是撥打一六五反詐騙諮詢專線求證,避免自己一步步掉入對方圈套。 蕭松瀛補充,不管是企業或個人,只要涉及金錢往來,都需要做第二層的驗證,找到第三者或是其他管道的確認,再進行匯款,較為安全。 解方3》用AI對決AIAIPC、手機搭示警系統 即時抓假同事、假電話 當「影像都不一定是真相」的時代來臨,KPMG安侯企業管理公司董事總經理謝昀澤直言,未來要應對GenAI的影像生成偽造技術,其中一個解方,就是以其人之道,還治其人之身,「以AI來治AI。」 例如,當企業在進行線上視訊會議,或是在社群媒體上看到深偽影片,軟體或平台可以搭載AI辨識系統,在使用者觀看時,跳出示警,提醒影片含有深偽技術。 高義銘補充,如同該公司產品Whoscall結合大數據,在來電跳出時提醒用戶是否為疑似詐騙號碼,未來隨著AI PC、AI手機的誕生,也應該研發出在裝置本機運作的防詐模型,保護使用者。 威脅2》AI助理洩個資證件、醫囑被盜用 它越懂你,傷害越大! 被視為PC產業救星的AI PC,的確帶給投資者與使用者無限想像,但,就如同跨入新大陸一樣,未來大眾在使用相關設備時,也衍生出許多過去不曾遇到的新危機。 首先,就是個資的保護。 跟過去的PC相比,AI PC最大不同之處除了運算能力升級外,就是每台都可能配置的AI助手。未來使用者恐怕會更依賴這名助手,協助打理生活大小事,而一旦它越懂你,當它背叛你時,傷害也可能越痛。 例如,當AI助手不小心把你存在電腦中的護照、身分證掃描檔都吸收至它的大腦,甚至被提供該服務的廠商拿回去訓練模型,此時,就產生個資外洩的風險;其次,就是AI助手的大腦存放資訊,存在被篡改的風險。 趨勢科技產品管理部協理沈政彥指出,一個過去表現良好的AI助手,若它的大腦被入侵,被植入有害內容時,它可能也會同步給出有害的答案;最致命的是,正因為它過去的良好表現,你屆時會完全信任它,進而踩雷。 沈政彥舉例,例如在寫電子郵件時,過去AI助手會協助在信中補上含有聯繫資訊的網站,但當它大腦資訊被篡改後,這個網站可能變成釣魚網站,進而使聯繫對象中招。 這個威脅,輕則會令人電腦中毒、資料被竊,變成公司新的資安缺口;抑或是讓原本想請AI助手協助登上網路銀行頁面的人,反倒進到釣魚網站,兩種情境都可能會使受害者付出金錢代價。 更嚴重者,像是當個人的醫囑被篡改,你問AI助手今天該吃幾顆藥,它給出的卻是錯誤答案,這就可能讓病人偏離醫囑,危及使用者健康。 解方》防毒,也要防AI杜絕惡意程式入侵AI助手大腦 以趨勢科技為例,目前該公司已發展出針對AI PC的防護解決方案,例如借用AI PC更高效的運算能力,客戶可自行在裝置端進行掃描,一是區隔出機密文件,讓AI助手無法讀取、二則是不用再將資訊回傳至外部雲端才能掃毒,用戶可在電腦中自行掃描收到的信件,過濾是否存有釣魚網站,降低資料外洩風險。 同時間,防護軟體也會保護AI助手的大腦資訊,不被惡意程式篡改。 換言之,除了既有的防火牆、端點偵測防護等資安解決方案,未來大眾使用AI PC更高效運算能力的同時,也代表資安需要守護的領地範圍更寬闊了。 威脅3》AI也會學壞GPT被套話、洗腦 駭客還沒來,「大門」已開 「現在還在於大家想了解這東西(GenAI)到底怎麼用(的階段),只有少數公司會開始關注AI系統的資安問題。」網路資安專業代理商創泓科技董事長黃健寧點出,GenAI浪潮下,企業的第一道風險,其實遠在被駭客使用GenAI技術攻擊之前,光是踏上駕馭、訓練AI這條路上,就存在風險與地雷。 這個雷,韓國科技大廠三星就曾親身踩過。早在二○二三年四月,三星宣布ChatGPT使用解禁後不到一個月,就傳出資訊外洩事件。 「都還沒談到駭客攻擊,(光是使用AI工具,資料)就會外洩。」洪偉淦指出,向公開AI工具如ChatGPT發問,即使私下使用,無異於把問題內容與資訊公開於世。 除此之外,即使是在公司內部、封閉環境下,導入類似GPT的大型語言模型、自行訓練出一顆有著AI大腦的虛擬助手,也可能出現部門間資訊外流、不當存取的事件。洪偉淦舉例,當部門主管想要調整員工薪水,向GPT詢問公司薪獎制度,結果GPT卻加碼提供了其他部門高層薪資單等不應在此情境出現的資訊,這也是種資料外洩。 現在也有駭客會採用特定指令與問題,從AI助手口中「套話」,甚至是藉此讓助手無法達成它原本被設定的任務,例如多給客人不該給的退款、分享不該提供的資訊等,讓AI如同被洗腦,或是使其內部神經網絡當機,這類手法被稱作「指令注入」(Prompt Injection)攻擊。 謝昀澤表示,這類風險正是企業導入GenAI需要正視與防止發生的情境。 甚至往回推到更源頭,每家企業都會想訓練出供自己內部使用的AI助手,但,卻可能在一開始就踩到地雷,助手變叛徒。 謝昀澤透露,實務上目前最常見的坑,就是企業上雲訓練AI時,因為權限設定疏失,導致外部人或前員工等,理應不具備訪問資料權限的人員,仍可以取得訓練資料,其中可能包含客戶個資等機密資訊。 他比喻,這就如同買了一棟新大樓,你也配置好保全,但自己家門卻沒有上鎖,引狼入室,使得企業尚未享用AI技術的紅利,就先因為自己大意而蒙受損失。 解方1》做好權限控管設過濾窗口、用「在地」機房防駭 黃健寧建議,當企業在串接外部AI工具時,應透過API(應用程式介面)連結,在資料與內容向外傳送時,設置過濾窗口,防止企業機密外洩;同時間,針對會用到客戶個資等資訊的服務或AI模型訓練,採用在地的私有雲機房進行運算,降低被駭風險。 解方2》讓AI監督AI部署一站式平台、AI守門員 隨著資安威脅日新月異、像是AI PC等新戰場越開越多,一直都處在缺工狀態的資安產業,從業人員壓力也與日俱增。 也因此,如何透過GenAI技術,降低資安部門負擔,也是未來的顯學。 例如,包含趨勢科技與Palo Alto Networks,都推出一站式整合的平台產品,使用者可以在一個介面上,直接掌握每個資安防護關口的動態,結合AI過濾與分類事件風險,複雜的攻擊再交由人工應對,部分入侵甚至可以由AI自動回應就處理,大幅簡化作業流程。 此外,未來也將看到越來越多資安解方,採用融入GPT功能的AI助手,讓使用者快速查找特定知識,以及協助資訊整理與過濾,擴大有限人力的守備範圍。 謝昀澤觀察,導入AI技術後,可減輕資安人員六至八成的日常工作量。 如同一把雙面刃,當駭客與攻擊者不斷吸收GenAI當作武器;做為守城者,也必須懂得擁抱該科技,以子之矛、攻子之盾,才能避免自己成為AI受害者。 隨著資安威脅日益複雜,未來資安防護勢必要導入AI協助,才能在諸多企業需要防護的關口,都即時抵禦駭客攻擊。攝影者:楊文財 ...

2024.08.22